Thought Leadership
Die britische Einzelhandelskette Marks & Spencer (M&S) ist im April Opfer eines komplexen Cyberangriffs geworden, bei dem Kriminelle durch Social Engineering Zugang zum Unternehmensnetzwerk erlangten. Dies bestätigte M&S-Chairman Archie Norman vor dem Unterausschuss für Wirtschaftssicherheit des britischen Parlaments.
Der Angriff vom 17. April begann mit einer raffinierten Täuschung: Cyberkriminelle gaben sich als M&S-Mitarbeiter aus und überredeten offenbar einen Drittanbieter zur Passwort-Zurücksetzung. “Das war eine ausgeklügelte Identitätsfälschung. Sie traten nicht einfach auf und baten um eine Passwort-Änderung, sondern erschienen als jemand mit dessen konkreten Details”, schilderte Norman den Parlamentariern.
DragonForce-Ransomware aus Asien identifiziert
Erstmals nannte M&S konkret die DragonForce-Ransomware-Operation als Urheber des Angriffs. “Der Initiator ist vermutlich DragonForce, eine Ransomware-Operation mit Sitz in Asien”, erklärte Norman.
Nach Recherchen von BleepingComputer führten Akteure der Scattered Spider-Gruppe den Angriff durch und setzten dabei die DragonForce-Ransomware ein. Trotz der prophylaktischen Abschaltung aller M&S-Systeme konnten die Angreifer zahlreiche VMware ESXi-Server verschlüsseln und rund 150 GB Daten exfiltrieren.
Professionelle Verhandlungsführung in der Kritik
M&S übertrug die Kommunikation mit den Erpressern wohl an externe Spezialisten. “Wir entschieden früh, dass niemand bei M&S direkt mit den Angreifern verhandeln würde. Das sollten Profis mit entsprechender Erfahrung übernehmen”, so Norman.
Solche Ransomware-Verhandlungsdienstleister geraten jedoch zunehmend in die Kritik. Sicherheitsexperten bemängeln, dass diese Firmen das Ransomware-Geschäft indirekt befeuern, indem sie Lösegeldzahlungen erleichtern und Kriminellen damit Anreize für weitere Attacken schaffen. Die Verfügbarkeit professioneller Verhandlungsservices könne Unternehmen zudem dazu verleiten, den vermeintlich einfachen Weg der Zahlung zu wählen, anstatt in robuste Backup-Strategien zu investieren.
Details zur Lösegeldzahlung bleiben geheim
Auf die direkte Frage nach einer möglichen Lösegeldzahlung verwies Norman auf das “öffentliche Interesse” und verweigerte konkrete Angaben. Alle relevanten Informationen seien jedoch mit der National Crime Agency (NCA) geteilt worden.
Die Tatsache, dass DragonForce bislang keine M&S-Daten auf ihrer Leak-Site veröffentlicht hat, deutet auf eine erfolgte Zahlung oder laufende Verhandlungen hin. Ransomware-Gruppen folgen typischerweise einem Double-Extortion-Modell: Neben der Verschlüsselung drohen sie mit der Veröffentlichung gestohlener Daten, falls das Lösegeld ausbleibt.
